Microsoft Word 远程代码执行漏洞（CVE-2023-21716）

醉无羁

一. 漏洞概述
近日，绿盟科技CERT监测发现网上公开披露了Microsoft Word 远程执行代码漏洞（CVE-2023-21716）的PoC。由于Microsoft Word中的RTF解析器在处理包含过多字体 (*\f###*) 的字体表 (*\fonttbl *)时会触发堆损坏漏洞，攻击者可通过发送包含RTF有效负载的恶意电子邮件等方式利用该漏洞，当成功诱导用户在受影响的系统打开特制文件后，无需身份验证的攻击者可实现在目标系统上执行任意代码，且预览窗格也可作为该漏洞的攻击媒介。CVSS评分为9.8，请受影响的用户尽快采取措施进行防护。
目前绿盟科技研究员已成功验证PoC的可利用性：


参考链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716
二. 影响范围
受影响版本
l Microsoft 365 Apps for Enterprise for 32-bit Systems
l Microsoft 365 Apps for Enterprise for 64-bit Systems
l Microsoft Office 2019 for 32-bit editions
l Microsoft Office 2019 for 64-bit editions
l Microsoft Office 2019 for Mac
l Microsoft Office LTSC 2021 for 32-bit editions
l Microsoft Office LTSC 2021 for 64-bit editions
l Microsoft Office LTSC for Mac 2021
l Microsoft Office Online Server
l Microsoft Office Web Apps Server 2013 Service Pack 1
l Microsoft SharePoint Enterprise Server 2013 Service Pack 1
l Microsoft SharePoint Enterprise Server 2016
l Microsoft SharePoint Foundation 2013 Service Pack 1
l Microsoft SharePoint Server 2019
l Microsoft SharePoint Server Subscription Edition
l Microsoft Word 2013 RT Service Pack 1
l Microsoft Word 2013 Service Pack 1 (32-bit editions)
l Microsoft Word 2013 Service Pack 1 (64-bit editions)
l Microsoft Word 2016 (32-bit edition)
l Microsoft Word 2016 (64-bit edition)
l SharePoint Server Subscription Edition Language Pack
三. 漏洞防护
3.1  官方升级
目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁，建议受影响用户开启系统自动更新安装补丁进行防护。
注：由于网络问题、计算机环境问题等原因，Windows Update的补丁更新可能出现失败。用户在安装补丁后，应及时检查补丁是否成功更新。右键点击Windows徽标，选择“设置(N)”，选择“更新和安全”-“Windows更新”，查看该页面上的提示信息，也可点击“查看更新历史记录”查看历史更新情况。
针对未成功安装更新补丁的情况，可直接下载离线安装包进行更新，链接如下：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716
3.2  手动更新
1、打开Office应用，并创建文档。
2、点击“文件”>“账户”，在产品信息中点击“更新选项”>“立即更新”


3、为确保成功更新Office应用，请用户再次点击“立即更新”进行检查更新，若出现以下内容则说明应用已更新至最新状态。


3.3  临时缓解措施
若受影响用户无法进行正常升级，则可通过以下操作来规避此漏洞：
1、使用Microsoft Outlook以纯文本阅读电子邮件的方式来降低用户打开未知或不受信任来源的RTF文件的风险。配置Microsoft Outlook以纯文本形式阅读邮件指南可参考：
https://support.microsoft.com/en-us/office/change-the-message-format-to-html-rich-text-format-or-plain-text-338a389d-11da-47fe-b693-cf41f792fefa?ui=en-us&rs=en-us&ad=us
2、使用Microsoft Office文件阻止策略来防止Office打开来自未知或不受信任来源的RTF文档。需要注意的是，已配置文件阻止策略但未配置特殊“豁免目录”的用户将无法打开以RTF格式保存的文档。详见：
https://learn.microsoft.com/en-us/office/troubleshoot/settings/file-blocked-in-office。
注意：该方法需要修改注册表编辑器，如未正确使用将会导致严重问题，可能需要重新安装操作系统。
Office 2013
1) 以管理员身份运行regedit.exe并导航到以下子项：

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]

2) 将RtfFiles DWORD值设置为2。
3) 将OpenInProtectedView DWORD值设置为0。
Office 2016/2019/2021
1) 以管理员身份运行regedit.exe并导航到以下子项：

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]

2) 将RtfFiles DWORD值设置为2。
3) 将OpenInProtectedView DWORD值设置为0。
如果想撤销以上缓解措施，可执行以下操作：
Office 2013
1) 以管理员身份运行regedit.exe并导航到以下子项：

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]

2) 将RtfFiles DWORD值设置为0。
3) 将OpenInProtectedView DWORD值设置为0。
Office 2016/2019/2021
1) 以管理员身份运行regedit.exe并导航到以下子项：

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]

2) 将RtfFiles DWORD值设置为0。
3) 将OpenInProtectedView DWORD值设置为0。
声明
本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。